Mariano A. HernándezField Enablement ManagerSun Microsystems, EMEA
CobIT & Balanced ScoreCard.Manage IT as a Business
Agenda
Algunos elementos de gestiónCómo es el negocio de TIMarco de Indicadores (Cobit)Cuadro de Mando Integral (BSC)ModelizaciónHerramientas y Ejemplos
Algunas preguntas¿Cómo es mi negocio?¿De verdad adoptar ITIL es “sencillo”?¿Qué puntos de riesgo tiene?¿Como aportare valor a la dirección?Limitaciones, pasos a seguir, consideraciones...¿Todo (procesos, indicadores) vale?
Objetivo de Gestión
Business Plan
Estrategia Negocio
Estrategia TI
TI Business Plan
Dirección de Empresa
Ges
tión
T
ecno
lógi
ca
¿Pero esto es un negocio?FCF
SOURCE: CS First Boston (cashflow.com)
Investment Inflow
Investment Outflow
EarningsInflow
EarningsOutflow
SuperCash Flow
ProfitableBuildout
Turnarounds / Emerging Capital Efficient Company
Value Destruction / Startup
¿Pero esto es un negocio?FCF PP vs Clásico
New York Times vs. Yahoo!
($400)
($200)
$0
$200
$400
($400) ($200) $0 $200 $400
Cash Investment
Cas
h Ea
rnin
gs
SuperCash Flow
ProfitableBuildout
Emerging Capital Efficient Company
Startup
New York Times
Yahoo!
SOURCE: CS First Boston (cashflow.com)
EAIGSM
Svc DeliveryDBAPSC
HW ProvisionSystem ConfigConfig Mgmt
Batch Ops/DevTools
Release MgmtResolution Ctr
ITAS
WW
DC
IW
WTS
Desarrollo
Problema. Cómo se ven las “cosas”
Service Delivery
App Grp 1App Grp 2App Grp 3App Grp 4App Grp 5App Grp 6App Grp 7App Grp 8App Grp 9
App Grp 400
DC
SIT
EFIT
CSS
ITO
ther
Problema. Cómo se ven las “cosas”
EAIGSM
Svc DeliveryDBAPSC
HW ProvisionSystem ConfigConfig Mgmt
Batch Ops/DevTools
Release MgmtResolution Ctr
ITAS
WW
DC
IW
WTS
App Grp 1App Grp 2App Grp 3App Grp 4App Grp 5App Grp 6App Grp 7App Grp 8App Grp 9
App Grp 400
DC
SIT
EFIT
CSS
ITO
ther
Problema: Visión Combinada
EAIGSM
Svc DeliveryDBAPSC
HW ProvisionSystem ConfigConfig Mgmt
Batch Ops/DevTools
Release MgmtResolution Ctr
ITAS
WW
DC
IW
WTS
App Grp 1App Grp 2App Grp 3App Grp 4App Grp 5App Grp 6App Grp 7App Grp 8App Grp 9
App Grp 400
DC
SIT
EFIT
CSS
ITO
ther
Problema: El usuario/cliente
?!
EAIGSM
Svc DeliveryDBAPSC
HW ProvisionSystem ConfigConfig Mgmt
Batch Ops/DevTools
Release MgmtResolution Ctr
ITAS
WW
DC
IW
WTS
App Grp 1App Grp 2App Grp 3App Grp 4App Grp 5App Grp 6App Grp 7App Grp 8App Grp 9
App Grp 400
DC
SIT
EFIT
CSS
ITO
ther
Única Solución: Visión unificada
Serv
ice
Mgt
Pro
cess
es
Dev
elop
men
t Pro
cess
es
Project MgtStandardisatio
nPLC
Con
fig M
gt
Chg & Rel MgtRCCA
Svc Level Mgt
Visión HolísticaA
lignm
ent
+ C
onsi
sten
cy+
Stan
dard
isat
ion Alignm
ent+ C
onsistency+ Standardisation
The Service
Service Level ManagementCustomers EXTERNAL
3rd Party SuppliersInternal IT
UCsUnderpinning
Contracts
SLRsService Level Requirements
Service CatalogServices Provided by IT
OLAsOperating Level Agreements
SLAService Level Agreement
SLOsService Level Objectives
Misión
Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes, auditores..
¿Qué es Cobit? Control Objectives for Information and related Technology. Set de documentación. Marco Referencial para la gestión de TI. Control y métricas de TI, no especifica frameworks. Define KGIs, KPIs, SFs y fija BSC de los procesos de tecnología.
¿Qué es Cobit?Integra y concilia normas y reglamentaciones existentes como:
ISO (9000-3)Códigos de Conducta del Consejo EuropeoCOSO, IFAC, IIA, ISACA, AICPA y Otras
1ª Edición Septiembre de 19962ª Edición Abril de 19883ª Edición Marzo de 2000
Requisitos de la información de Negocio
Requisitos de Calidad
Requisitos Financieros
(COSO)
Requisitos de Seguridad
Efectividad y eficiencia operacional.Confiabilidad de los reportes financieros.Cumplimiento de leyes y regulaciones.
Calidad.Coste.Oportunidad.
Confidencialidad.Integridad.Disponibilidad.
InformaciónEfectividadEfectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable
EficienciaEficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica)
ConfidencialidadConfidencialidad: Protección de la información sensible contra divilgación no autorizada
IntegridadIntegridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.DisponibilidadDisponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos.CumplimientoCumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.ConfiabilidadConfiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento.
Recursos de TIDatosDatos: Todos los objetos de información. Considera información interna y externa, estructurada o nó.
AplicacionesAplicaciones: entendido como los sistemas de información, que integran procedimientos manuales, etc.
TecnologíaTecnología:incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
InstalacionesInstalaciones:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Recurso HumanoRecurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorizar los sistemas de Información.
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
COBIT
Objetivos del Negocio
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices de GestiónAdministración de RRHHAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW Adquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos Instalación y Acreditación de sistemasAdministración de Cambios
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener asesoramiento inndependienteProveer una auditoría independiente
Servicios y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
Niveles de GestiónDominios: Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Tareas: Acciones requeridas para lograr un resultado medible. Las ActividadesTienen un ciclo de vida mientras que las tareas son discretas.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Dominios Cobit
Planificación y Organización: Estrategia y Táctica, alineación con los Objetivos de Negocio.
Adquisición e Implementación: Identificación, Desarrollo/Adquisición, Cambios y Mantenimiento.
Entrega y Soporte: Entrega de Servicios, Training, Procesos de Soporte.
Monitorización: Verificación de Calidad y Capacidad.
Procesos Cobit
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Planificación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Procesos Cobit
Entrega y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de OperacionesMonitorización
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento independienteProveer una auditoría independiente
Indicadores Cobit KEY GOAL INDICATOR
Objetivos de cada Proceso, es una medida de “qué” se tiene que alcanzar. Es un “target reflejo” del objetivo. KEY PERFORMANCE INDICATOR
Son medidas que indican “cómo” se estan alcanzando los objetivos del proceso. “Enablers”.
Goals Enablers
BSC itBSC
KGI KPI
Eficiencia, Efectividad, Confidencialidad, Integridad,Disponibilidad, Conformidad, Fiabilidad
Aviso a Navegantes
Para trabajar conjuntamente con ambos marcos (ITIL+Cobit):
¿Bastará con encajar los procesos ITIL en los dominios Cobit?
Si es así, ¿podremos extraer los indicadores
de los procesos ITIL según los define Cobit?
Toma de Decisiones
Actividades
Indicadores (KPIs)
Entradas (KGIs) Salidas (KGIs)
KPI: Key Performance IndicatorKGI: Key Goal Indicator
Incidencias Incidencias resueltas/ tiempo y tipo
Incidencias escaladas
Incidencias mal escaladas
Productividad del proceso: Incidencias entrantes vs Resueltas/tiempo y tipoProductividad del equipo: Resueltas/tiempo y tipo vs mal escaladas Eficiencia: Tiempos de resilución por tipo.
BSC: Balance ScoreCard
“Una seria deficiencia en los sistemas de gestión tradicionales: su incapacidad para unir la estrategia de largo plazo de la empresa con sus acciones de corto
plazo”.
Robert S. Kaplan / David P. Norton “Balance Scorecard, Traslating strategy in action”
BSC: Balance ScoreCard
Procesos
Visión / Misión / Valores
OE 1 OE 2 …... OE n
Iniciativas Hitos, con plazo
Dirección
Actividades
Rutinas,sin plazo
ObjetivosEstratégicos
ITIL
BSC: Balance ScoreCard para TI
Aprendizaje/ Crecimiento
Goals Medidas
FinancieraGoals Medidas
Procesos Internos
Goals MedidasCliente
Goals Medidas
Goals
KGI
Enablers
KPI
Primera Aproximación, itBSC=BSC
ItBSC: Balance ScoreCard para TIDebe ser capaz de cubrir: Garantizar la “orientación a negocio”, los planes y
actividades de TI alineadas con los objetivos y necesidades del negocio. Canalizar el esfuerzo de la organización de TI según
sus objetivos. Establecer medidas claras de medición de la
efectividad y eficiencia de TI. Estimular y sostener los niveles de rendimiento de TI. Alcanzar y balancear los objetivos de los diferentes
stakeholders.
Mapa de ServiciosTI/Negocio MappingDependencias y relacionesTop Down:
Cual es el impacto en
cliente/LOB?
Aviso a Navegantes
Puntos de riesgo aplicando BSCitEstadio de gestión previo/futuroPasos a seguirElementos diferenciadores
Gestión por ProcesosModelo Propio
Proceso ITILInputs Outputs
Owner Goals
Q/KPIs
Recursos Roles
Process Control
Process Enablers
Gestión por ProcesosModelo Propio
2. Process Capability
2.5 Internal Integration
1.Prerequisites
1.5 Management Intent 3.5 Quality Control
4. Management Information
3. Product
4.5 External Integration
5. Customer Interface
Gestión por ProcesosModelo Propio Level 1 Prerequisites: Existen los “items” mínimos necesarios para soportar el proceso. Level 1.5 Management Intent: Cierta Organización, objetivos de negocio, o indicios de intentos de transformar los prerequisitos. Level 2 Process Capability: Existen actividades, se llega a conclusiones. Level 2.5 Internal Integration: Las actividades se integran lo suficiente para garantizar la completitud del proceso. Level 3 Products: Analisis de los outputs para investigar relevancias en el producto de salida.
Gestión por ProcesosModelo Propio
Level 3.5 Quality Control: Revisión y calificación del proceso para garantizar la integración del mismo.
Level 4 Management Information: Existen variables de soporte a la decisión suficientes.
Level 4.5 External Integration: Integración correcta con otros procesos.
Level 5 Customer Interface: Revisión y validación exterior que garantizan los compromisos adquiridos.
"SMART" como premisa
Specific Measurable Achievable Realistic Time Related
Key Goals Indicators (KGIs)
Key Performance Indicators (KPIs)
Critical Success Factors(CSFs)
KGI, KPI, CSF y Modelo de Madurez
I.T. ProcessI.T. Process Process Process OwnerOwner
Level ofLevel ofConsolidationConsolidation
Maturity Maturity ModelModel
PO1 - Define a Strategic Plan CIO Single CobiT3PO2 - Define the Information Architecture Chief Architect Single CobiT3PO3 - Determine Technological Direction Chief Architect Single CobiT3PO4 - Define the I.T. Organization and Relationships CIO Single CobiT3PO5GL - Manage the I.T. Investment Director, IS Finance Company based CobiT3PO5I - Manage the I.T. Investment Director, IS Finance Company based CobiT3PO6 - Communicate Management Aims & Directions CIO Single CobiT3PO7 - Manage Human Resources TBD Site based SEI/P-CMMPO7 - Manage Human Resources TBD Site based SEI/P-CMMPO7 - Manage Human Resources TBD Site based SEI/P-CMMPO8G - Ensure Compliance with External Requirements GWL Site Leader Site based CobiT3PO8L - Ensure Compliance with External Requirements LL Site Leader Site based CobiT3PO8I - Ensure Compliance with External Requirements IG Site Leader Site based CobiT3PO9 - Assess Risks QA Manager Single CobiT3PO10 - Manage Projects PM Practice Leader Single CobiT3PO11 - Manage Quality QA Manager Single CobiT3
Planning and Organization Domain
Gestión por ProcesosModelización Servicio/Procesos
Separar claramente servicios de procesos de servicio. Modelizar en base a sistemas cerrados y luego ir
avanzando. Para procesos despreciar dinamismos iniciales, no para
servicios. Variables claves en ambos casos: KPIs, asi como las que
lo realimentan. Evolucionar a modelos con variables externas. Crítica la disposición de modelos: es el link entre ambos
sistemas de gestión. Roles técnicos altos y roles de gestión de procesos a la
par. Es preferible lo “burdo” a no tener nada.
Gestión de Cambios# Cambios Implementados por periodo# Cambios Totales# Cambios por CI y/o categoría# Cambios FallidosTiempos de Implementación por tipoAccurates entre Cambios implementados y Fallidos (backed-out)# RFCRelación entre RFC, categoría y CambiosRelación entre RFC e incidenciasRelación entre RFC y proactividad
Gestión de la Configuración% de Cis erróneos en la CMDB% de Cis totales en la CMDBCrecimiento en Cis de la CMBDHw y Sw reducción de coste en %Reducción en # de cambios fallidos por causa del análisis de impacto o datos erróneos en Cis% Incidencias out por match con CMDB% Problemas out por match con CMDB
Service Desk/ Gestión de Incidencias% Accurate al inicio% Escalado correcto% Back-outs% Incidencias en nivel I, o por nivel% Incidencias por match con CMDB% Incidencias por RFCs# IncidenciasRelaciones Incidencias vs Back-outsRelaciones Incidencias y ProblemasTiempos intermedios%On TimeIncidencias por tipo y categoríaIncidencias por servicio
Gestión de Problemas% Accurate al inicio% Escalado correcto% Back-outs% Match con Errores ConocidosRelación con los RFCsRelación con las incidencias escaladasTiempos intermediosRCF reactivos vs proactivosResoluciones a 3PP